本文共 3247 字，大约阅读时间需要 10 分钟。

linux系统中的日志管理

[1].实验环境的建立

rhel7_node1: 192.168.1.13

rhel8_node1: 192.168.1.14

[2].Journald命令

服务名称：systemd-journald.service 采集日志

默认日志存放路径： /run/log 2.1 Journalctl命令的用法 journalctl

命令	作用
-n 3	日志的最新3条
–since “2020-02-13 17:00”	显示17：00后的日志
–until “2020-02-13 17:00”	显示日志到17：00

结果：

命令	作用
-o	设定日志的显示方式
#short	经典模式显示日志
#verbose	显示日志的全部字节
#export	适合传出和备份的二进制格式
json	js格式显示输出

结果：

命令	作用
-p	显示制定级别的日志
#0 emerg	系统的严重问题日志（上属于内核级别）
#1 alert	系统中立即要更改的信息
#2 crit	严重级别会导致系统软件不能正常工作
#3 err	程序报错
#4 warning	程序警告
#5 notice	重要信息的普通日志
#6 info	普通信息
#7 debug	程序拍错信息

结果：

命令	作用
-F PRIORITY	查看可控日志级别
-u sshd	指定查看服务
–disk-usage	查看日志大小
–vacuum-size=1G	设定日志存放大小
–vacumm-time=1W	日志在系统中最长存放时间 （临时设置）
-f	监控日志

journalctl _PID=10924 _SYSTEMD_UNIT=sshd.service 查看详细的日志信息

查看方法：journalctl -o #verbose

1.2 用journald服务永久存放日志

系统中默认日志在:/run/log/journal中 默认方式在系统重启后日志会被清理要永久保存日志请完成以下操作：

mkdir /var/log/journalchgrp systemd-journal /var/log/journalchmod 2775 /var/log/journalsystemctl restart systemd-journald.service

当服务重启日志存放路径会被制定到：***/var/log/journal***

测试： 1.在操作以上步骤之前查看日志 2.重启系统 3.再次查看日志 4.可以看到日志是不会被保存下来的只能看到重启之后的日志 5.完成以上操作后再次重启系统可以看到日志是被保存下来的 结果：

[3].Rsyslog 命令

服务名称：rsyslog.service

日志存放：

存放位置	作用
/var/log/messages	系统服务日志，常规信息，服务报错
/var/log/secure	系统认证信息日志
/var/log/maillog	系统邮件日志信息
/var/log/cron	系统定时任务信息
/var/log/boot.log	系统启动日志信息

配置文件：/etc/rsyslog.conf

vim /etc/rsyslog.conf

实验1.自定义日志采集路径

*.*            /var/log/westos日志类型**.**日志级别 日志存放路径

日志类型	功能
auth	用户认证
authpriv	服务认证
cron	时间任务
kern	内核类型
mail	邮件
news	系统更新信息
user	用户

日志级别

debug info notice waring err crit alert emerg none

结果：

注意： 1./var/log/westos ##把系统中所有级别的日志存放到westos中; 2.authpriv.none /var/log/westos ##把系统中所有级别的日志存放到westos中 但是authpriv（服务认证）不存放到westos中

实验2.如何更改日志采集格式

1定义日志采集格式

vim /etc/rsyslog.conf

$template WESTOS, “%FROMHOST-IP% %timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

.;authpriv.none /var/log/westos;WESTOS

$template WESTOS, "%FROMHOST-IP% %timegenerated% %FROMHOST-IP%  %syslogtag%  %msg%\n"

#WESTOS： 格式名称

#%FROMHOST-IP%： 日志来源主机IP #%timegenerated%： 日志生成时间 #%syslogtag%： 日志生成服务 #%msg%： 日志内容 #\n： 换行 2设定日志采集格式应用

实验3.日志的远程同步

实验环境： rhel7_node1: 存放日志作为日志接受端，所有人日志都存放到此台主机 rhel8_node1: 发送日志到rhel7_node1主机中

1.在rhel7中设定接受所有人的日志

systemctl stop firewalld vim /etc/rsyslog.conf

15 $ModLoad imudp          ##打开日志接受插件16 $UDPServerRun 514       ##指定插件使用接口

查询端口：

root@rhel7_node1 ~]# netstat -antlupe | grep rsyslog

2.rhel8中设定发送日志到rhel7中

vim /etc/rsyslog.conf

*.* @192.168.1.13

systemctl restart rsyslog.service       重启服务

@ 表示使用udp传输日志

@@ 表示使用tcp传输日志 @192.168.1.13 把本机日子用udp的传输方式发送到192.168.1.13主机 实验结果：

[4].Timedatectl命令

名称	作用
timedatectl set-time “2020-02-13 10:41:55”	设定系统时间
timedatectl list-timezones	显示系统的所有时区
timedatectl set-timezone “Asia/Shanghai”	设定系统时区
timedatectl set-local-rtc 0/1	设定系统时间计算方式
0	表示使用utc时间计算方式
1	本地时间

[5].时间同步服务

作用：使所有主机的时间同步

服务名称： chronyd.service 配置文件： /etc/chrony.conf

实验：在rhel7作为时间源，rhel8同步rhel7时间

在rhel7中

vim /etc/chrony.conf       #查看配置文件

26 allow 172.25.254.0/24 ##允许172.25.254.0网段主机同步时间29 local stratum 10 ##开启时间同步服务器功能并设定级别为10

systemctl restart chronyd.service       #重启服务systemctl stop firewalld                #关闭防火墙

在rhel8中

vim /etc/chrony.conf

pool 192.168.1.13 iburstsystemctl restart chronyd    #重启服务

查看：

在rhel8中查看时间，显示已经变成rhel7中时间 查看时间效果：

[root@rhel8_node1 ~]# chronyc sources -v

转载地址：http://ebzrf.baihongyu.com/